Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / MOZ FAKE EXTENSIONS PAID MEDIA

Más de 150 extensiones falsas de [REDACTED]: un único backend, una única red

The Enablers Registry·Editorial mirror·/es/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Investigación • 6-8 minutos de lectura

Más de 150 extensiones falsas de [REDACTED]: un único sistema de gestión y publicidad de pago

Los medios de comunicación culparon a los «osos rusos» de más de 150 extensiones falsas de [REDACTED]. Nuestras investigaciones revelan una infraestructura nigeriana (IP 185.208.156.66), kits de possibly phishing reutilizados y cómo los artículos pagados contribuyeron a difundir el mito.

Publicado originalmente el Medio — THE ENABLERS REGISTRY

La narrativa engañosa

Una historia sobre «Más de 150 extensiones falsas de [REDACTED]» La noticia, vinculada a un supuesto «rastro ruso», se difundió ampliamente en los principales medios especializados en criptomonedas y seguridad. Suena dramático, pero nuestro análisis demuestra que esta narrativa es engañosa y, lo que es peor, protege a los verdaderos responsables.

Más de 150 extensiones de baja calidad en un único backend

Todas las extensiones de esta campaña fueron:

  • No es original, parece copiado y pegado.
  • Solo variaban los logotipos y los nombres.
  • Todo ello conectado a un backend único.
Dirección IP del servidor: 185.208.156.66
El dominio del backend era [REDACTED]/app.php. La mayoría de los dominios vinculados a esta IP ya no están activos, pero los archivos han conservado instantáneas a través de Urlscan y WebArchive.

Nuestras medidas contra esta campaña

Como grupo independiente de inteligencia sobre amenazas especializado en las retiradas de infraestructuras de possibly phishing y estafas, nosotros:

  • Envié informes directamente a [REDACTED] para señalar extensiones maliciosas.
  • Derivado a [REDACTED], solicitando ayuda profesional para acelerar la prohibición.
  • Se ha publicado un informe en Chainabuse para darlo a conocer a la comunidad.
  • Inyectó millones de frases semilla vacías en el sistema de gestión de los atacantes para corromper los datos robados.

Por qué esta infraestructura no es «rusa»

Los autores de amenazas de habla rusa suelen utilizar:

  • Servidores distribuidos (IANA #1910 Workers, Firebase, Amazon, enlaces únicos por campaña).
  • Ofuscación y redundancia para evitar puntos únicos de fallo.

En cambio, esta campaña puso de manifiesto que:

  • A Proveedor de alojamiento web nigeriano.
  • Dominios relacionados con estafas bancarias, carteras de criptomonedas falsas y estafas de envíos falsos.
  • Una cuenta de [REDACTED] que recibe datos robados vinculados a un Operador nigeriano.
«Los grupos rusos crean infraestructuras sofisticadas. Esta era barata, centralizada y poco sofisticada: exactamente lo que ya habíamos visto antes en servidores nigerianos».

El problema de los medios de pago

Las publicaciones en medios de pago acarrean graves consecuencias:

  1. Se publica un artículo de pago en un medio de prestigio.
  2. Cientos de páginas web más pequeñas, blogs y canales de [REDACTED] lo reescriben o lo traducen.
  3. En cuestión de días, se convierte en una narrativa falsa a gran escala que da la impresión de ser creíble.
«Las víctimas ven “el rastro ruso”, creen que el caso está cerrado y dejan de denunciar a las autoridades. Los verdaderos delincuentes siguen impunes».

Ejemplo: Angel Drainer

Todos los principales medios de comunicación publicaron titulares sobre «Se ha desactivado Angel Drainer tras la identificación de los desarrolladores». Pero, ¿era cierto, o solo se trataba de otra publicidad pagada que se repetía hasta que pareciera creíble? Para los delincuentes, comprar artículos es calderilla; para las víctimas, lo cambia todo.

Las empresas de ciberseguridad se encargan de sus propias relaciones públicas

Las empresas de ciberseguridad pagan decenas de miles de dólares por artículos sobre ellas mismas, sus investigaciones y su impacto. Esto plantea algunas cuestiones fundamentales:

  • ¿Por qué un grupo de ciberseguridad de verdad tiene que pagar por una póliza de seguro?
  • ¿Están intentando borrar las huellas del verdadero hacker?
  • ¿O aprovechar la identidad del hacker para chantajear o obtener ventajas competitivas?
  • ¿El objetivo es reforzar la confianza… o manipular la percepción para obtener beneficios?
«Si la ciberseguridad se convierte en otro juego de relaciones públicas, en el que los hechos los determina quien paga más, la confianza en este ámbito se derrumbará».

Datos del mercado

Esta práctica no es ningún secreto:

  • En Fiverr, Upwork y plataformas especializadas en relaciones públicas, puedes comprar directamente «artículos de autor invitado».
  • Los proveedores envían hojas de cálculo de Google con docenas de puntos de venta y precios, entre los que se incluyen marcas conocidas de ciberseguridad.
  • Algunos prometen: «Por un suplemento, sin etiqueta de patrocinador».

Entre los objetivos declarados para la compra de artículos se incluyen:

  • Creación de enlaces (SEO).
  • Tráfico y ventas.
  • Concienciación de marca.
  • Gestión de la reputación (ocultar los aspectos negativos).
  • Verificación social.
  • Listas de publicaciones para las solicitudes de visado.

Los costes mencionados incluyen más de $20,000 para conseguir espacios de entrevista de pago en los principales medios de comunicación especializados en criptomonedas.

«Esto no es periodismo. Es un mercado, donde la credibilidad se compra y se vende».

Negocios frente a mentiras

Publicar contenido de pago no es ilegal: es un negocio. Pero cuando se traspasa la línea de publicar afirmaciones falsas, desviar las investigaciones y hacer pasar las estrategias de relaciones públicas por hechos, se convierte en parte del problema.

Conclusión

THE ENABLERS REGISTRY es una iniciativa independiente dedicada a la ciberseguridad que no recibe financiación, no vende publicidad ni obtiene beneficios. Los hechos son claros:

  • Más de 150 extensiones de [REDACTED] redirigidas a un único servidor de fondo alojado en Nigeria.
  • Los datos se enviaron a una cuenta de [REDACTED] de Nigeria.
  • La historia del «rastro ruso» es una invención.
  • La cobertura mediática pagada amplificó esta invención hasta el punto de que pareciera cierta.
  • Incluso las propias empresas de ciberseguridad pagan por promocionarse.
«Vender anuncios es un negocio. Vender mentiras como si fueran hechos protege a los delincuentes. Y cuando incluso el sector de la ciberseguridad vende narrativas, las víctimas —y la justicia— salen perdiendo».

Aviso legal

No estamos acusando a ninguna persona, empresa ni medio de comunicación. Todos los datos son de dominio público y pueden verificarse a través de archivos públicos, escáneres e informes. La verdadera pregunta es: ¿Por qué se controlan y se amplifican este tipo de narrativas? ¿A quién beneficia que una empresa de seguridad desconocida publique una «megainvestigación» inexacta que desvíe la atención de los verdaderos responsables?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Comparte esta investigación

Investigaciones relacionadas

[REDACTED] TDS: 1.500 paneles expuestos, cero usos legítimos
INVESTIGACIÓN
[REDACTED] TDS: 1.500 paneles expuestos, cero usos legítimos
Malware «BlockBlasters» en [REDACTED]: se pone de manifiesto la negligencia de la plataforma
INVESTIGACIÓN
Malware «BlockBlasters» en [REDACTED]: se pone de manifiesto la negligencia de la plataforma
INVESTIGACIÓN
Estafadores al descubierto: análisis detallado de cuatro sistemas de gestión de estafas

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings